Laut CISSP-Studienhandbuch umfasst die Zugriffskontrolle die IAAA (Identifizierung, Authentifizierung, Autorisierung und Rechenschaftspflicht).

Wenn Sie sich also nicht um den Rest kümmern, können Sie Authentifizierung und Autorisierung als Zugriffskontrolle .

Wobei:

Identifizierung: Benutzername

Authentifizierung: Benutzername + Passwort (in einem Faktor auth, einfacher Fall)

Autorisierung: Zugriff auf Ressourcen nach Authentifizierung

Buchhaltung: Verfolgen, wer was getan hat

Ich würde sagen, das nächste, an das ich denken kann, ist das Authentifizierungs-, Autorisierungs- und Buchhaltungs-Framework, das häufig mit AAA abgekürzt wird.

Authentifizierung, Autorisierung und Buchhaltung (AAA) ist ein Begriff für ein Framework zur intelligenten Steuerung des Zugriffs auf Computerressourcen, zur Durchsetzung von Richtlinien, zur Überwachung der Nutzung und zur Bereitstellung der Informationen, die für die Abrechnung von Diensten erforderlich sind. Diese kombinierten Prozesse werden als wichtig für ein effektives Netzwerkmanagement und Sicherheit angesehen.

Der einzige Begriff, der als maßgeblich für beide in den Sinn kommt, ist "Zugriffsverwaltung". Damit meine ich ein System, das Authentifizierung, Autorisierung und Buchhaltung implementiert (häufig als AAA-Framework bezeichnet).

Diese Begriffe gelten nicht Teilen Sie wirklich eine Gemeinsamkeit, bis Sie mit der Implementierung eines Systems beginnen, das sie benötigt.

Die meisten Analystenfirmen nennen diesen Bereich Identity & Access Management (IAM). Dies ist auch der Name der Raumanbieter, die für ihre Produkte verwendet werden. Neben IAM gibt es einen weiteren Bereich namens IAG oder Identity & Access Governance, in dem es mehr um die Überprüfungszeit geht, während es in IAM mehr um Definition und Laufzeit geht.

Schließlich verwendet Gartner & Kuppinger Cole auch EAM (Externalized Authorization Management). und DAM (Dynamic Authorization Management) für die Zugriffssteuerungsspezifikationen.

Die Antwort auf Ihre Frage hängt vom Kontext ab, in dem die Begriffe verwendet werden. Auf der höchsten Abstraktionsebene lautet der übergeordnete Begriff Informationssicherung , wobei die 5 Säulen sind:

• Verfügbarkeit
• Integrität

Um es klar auszudrücken: Authentifizierung und Autorisierung sind ein Aspekt der Informationssicherheit . Ziel ist es, die Säulen der Informationssicherung , insbesondere der Nicht-Ablehnung, mit einem hohen Maß an Vertrauen durchzusetzen.

Um weiter zu vertiefen, fallen beide Begriffe in die Informationssicherung und in die Assoziation , der Informationssicherheitsraum. hauptsächlich in:

• Identitätsmanagement (IdM) oder
• Identitäts- und Zugriffsmanagement (IdAM)

IAM ist der häufigere Begriff Besonders wenn Sie in der Regierung oder in großen Unternehmen arbeiten, in denen Sie normalerweise mehr als 10000 Identitäten finden. Informationen zu Ihrem Interesse finden Sie in den neuesten Richtlinien und Richtlinien des US-Verteidigungsministeriums (USA) und der National Cyber ​​Security Centers (Großbritannien) hier bzw. hier.

Definitionen und Erklärungen

Identitäts- und Zugriffsmanagement (IdAM) ist ein Aspekt der Informationssicherheit und umfasst Technologien und Prozesse, einschließlich der beiden Begriffe in Ihrer Frage.

Identität Governance - ist ein Prozess in IdAM. Es ist das Management von Richtlinien, die Folgendes regeln:

• den End-to-End-Lebenszyklus (Erstellung / Änderung / Umzug / Lebensende) von Identitäten (Mensch) / Maschine / Künstlich) über heterogene Systeme hinweg.
• die Hierarchie des Zugriffs auf organisatorische Vermögenswerte, die etablierten Identitäten gewährt wird (natürlich entsprechend ihrer Rolle und Verantwortung gegenüber dem Unternehmen).
• Einhaltung der externen / internen Vorschriften wie ISO 27001, GDPR, HIPAA.

Es gibt andere Funktionen, aber diese 3 sind die wichtigsten, die ich glaube. In dieser Übung erstellen Sie eine Identität, z. B. einen Netzwerkfrequenzadministrator, und legen fest, über welche Berechtigungen diese Identität verfügen soll. Sie können auch bestimmen, welche Bereiche eines Gebäudes, welche Computer, welche Drucker, welches mobile Gerät diese Identität verwenden kann, oder sogar Gerätegruppen für einen bestimmten Identitätstyp sperren. Dies ist in der Tat die verwaltete Planung der Berechtigung, einer Identität zugeordnet zu werden. Auf dieser Ebene des Spiels spielen Ihre Geschäftsanalysten, Unternehmensarchitekten, Compliance-Spezialisten, Informationssicherheitsspezialisten und Informationsprüfer.

Zugriffsverwaltung - Ist das Analyse und Reaktion auf

• Verstöße gegen Zugriffsregeln - Welche Identität verstößt gegen die zugewiesene Zugriffsrichtlinie?
• Zugriffsrisiken, insbesondere Profilerstellung und Minderung dieser Risiken - Wie groß ist dieser Verstoß und wie reagieren wir darauf? Benötigt es weitere Analysen? Sollten diese katalogisiert und bekannten Angriffsvektoren usw. hinzugefügt werden?
• Anforderungen an die Echtzeitbereitstellung - Ist der Zugriff verfügbar? Das heißt, ist der Zugang zu Vermögenswerten rechtzeitig? Keine gute Gewährung des Zugriffs auf einen Vermögenswert 5 Tage überfällig.

Wie Sie sehen, ist die Zugriffskontrolle eng mit der Governance verbunden, da ein angemessener Zugriff (aus Sicht der technischen Implementierung der Informationssicherung) aus den Richtlinien abgeleitet wird, die bereits von der Identity Governance-Behörde innerhalb der Governance festgelegt wurden (und sollten) Unternehmen. In dieser Praxis liegt der Schwerpunkt auf der technischen Implementierung von Authentifizierungsdiensten, um mit einem hohen Maß an Sicherheit zu bestimmen, dass eine Identität der ist, für den sie sich ausgeben, und dass sie den Vorgaben der festgelegten Richtlinien entsprechen. Auf dieser Ebene spielen Ihre Cybersicherheitsspezialisten, Vorfall- und Reaktionsanalysten, Infrastrukturspezialisten (Netzwerk / Speicher / Datenbank), Pen-Tester, Plattformspezialisten, Softwarespezialisten und analytische KI.

Dies ist unangemessen Wenn Sie die Autorisierung und Authentifizierung isoliert betrachten, erkennen Sie stattdessen, dass es sich um Begriffe handelt, die in der Informationssicherung und Informationssicherheit weit verbreitet sind.